法規(guī)遵從性與IT審計的研究

2014-11-08 21:59:32 大云網(wǎng)　點擊量：評論 (0)

一、法規(guī)遵從性的含義與影響　　１．何為遵從性　　遵從（Ｃｏｍｐｌｉａｎｃｅ）在詞典里的含義是遵照正式或官方的規(guī)定。目前ＩＴ領(lǐng)域被廣泛研究和談?wù)摰姆ㄒ?guī)遵從性（ＡｃｔＣｏｍｐｌｉａｎｃｅ）則將這種遵

一、法規(guī)遵從性的含義與影響

　　１．何為遵從性

　　遵從（Ｃｏｍｐｌｉａｎｃｅ）在詞典里的含義是遵照正式或官方的規(guī)定。目前ＩＴ領(lǐng)域被廣泛研究和談?wù)摰姆ㄒ?guī)遵從性（ＡｃｔＣｏｍｐｌｉａｎｃｅ）則將這種遵照的標(biāo)準(zhǔn)鎖定到了相關(guān)的正式法律和法規(guī)上。〔1 〕這種遵照行為具有多重含義：

　　正式或官方規(guī)定的強制性；遵守正式規(guī)定所能帶給遵從者的利益和機會；選擇違反、忽視或放棄相關(guān)規(guī)定可能導(dǎo)致的政策、法律及連帶經(jīng)濟風(fēng)險；遵從者的出發(fā)點、意圖與策略；遵從者的行動過程及獲得的結(jié)果比對正式規(guī)定的符合度；符合性報告對遵從者未來行為與過程的改進作用；遵從者為此的投入與付出。

　　ＩＴ法規(guī)遵從性從系統(tǒng)工程的角度，迫使企業(yè)重新檢查他們的ＩＴ系統(tǒng)，并要求企業(yè)認真做好信息生命周期管理的每一個步驟。〔２〕相關(guān)法規(guī)和方案直接規(guī)定或間接關(guān)聯(lián)了若干與遵從性相關(guān)的關(guān)鍵能力項。保護系統(tǒng)和網(wǎng)絡(luò)需要有效的ＩＴ策略。在很多情況下，擁有周密的安全策略不僅僅是一個明智的選擇，有時也是法律要求。相關(guān)管理規(guī)章和法規(guī)（如《Ｓａｒｂａｎｅｓ－Ｏｘｌｅｙ法案》和《醫(yī)療保險信息交換與保密法案》）都為數(shù)據(jù)保護、保留和隱私制定了嚴(yán)格的標(biāo)準(zhǔn)。

　　保持遵從的關(guān)鍵在于能夠統(tǒng)一監(jiān)控并實施可使企業(yè)時刻受到保護的策略。

　　２．相關(guān)的法規(guī)、方案與要求

　　目前企業(yè)在生產(chǎn)經(jīng)營中經(jīng)常會涉及的國外法規(guī)包括《薩班斯－奧克斯萊法案（Ｓａｒｂａｎｅｓ－Ｏｘｌｅｙ）》、《健康保險可攜性和可糾責(zé)性法案（ＨＩＰＡＡ）》、《格雷姆－里奇－比利雷法（ＧＬＢＡ）》、《加利福尼亞州參議院第１３８６號議案》、《歐洲共同體數(shù)據(jù)保密指令》美國食品和藥品管理局（ＦＤＡ）制藥規(guī)定２１ＣＦＲ第１１篇等。近兩年我國頒布實施的《電子簽名法》、《中國信息安全產(chǎn)業(yè)反不正當(dāng)競爭公約》以及有關(guān)信息安全方面的一系列標(biāo)準(zhǔn)，都是企業(yè)在生產(chǎn)經(jīng)營過程中需要遵循的內(nèi)容。〔３〕

　　就目前來說，中國企業(yè)法規(guī)遵從的主要問題集中在信息安全與信息披露等方面，尤其是國外相關(guān)管理部門制定的一系列信息安全規(guī)定。對于企業(yè)的ＣＥＯ、ＣＦＯ、ＣＩＯ以及眾多高層管理人員來說，法規(guī)遵從已經(jīng)是他們不可回避的問題。要滿足這些法規(guī)遵從方面的要求，企業(yè)一方面在業(yè)務(wù)流程上要依據(jù)法規(guī)要求，做出相應(yīng)的調(diào)整，另一方面由于現(xiàn)代企業(yè)中ＩＴ與業(yè)務(wù)的息息相關(guān)，因此，企業(yè)的ＩＴ系統(tǒng)也不可避免地需要進行相對應(yīng)的改變。

　　以美國證券交易委員會ＳＥＣ（Ｓｅｃｕｒｉｔｉｅｓ＆ＥｘｃｈａｎｇｅＣｏｍｍｉｓｓｉｏｎ）中對交易記錄保存所作規(guī)定為例。其中規(guī)定，如果會員單位、經(jīng)紀(jì)人或經(jīng)銷商使用電子存儲介質(zhì)，則對電子記錄有以下要求：只能以不可改寫、不可擦除的格式保存記錄；自動驗證存儲介質(zhì)記錄過程的質(zhì)量和準(zhǔn)確性；將原存儲介質(zhì)和其副本單元（如果合適）以及此電子存儲介質(zhì)上存儲的信息的保留期的日期和時間序列化；有能力應(yīng)交易委員會或自律機構(gòu)的要求隨時下載電子存儲介質(zhì)上保存的索引和記錄；對電子記錄所做出的以不可改寫、不可擦除的格式保存的要求是要確保信息的完整性。

　　驗證信息質(zhì)量和準(zhǔn)確性實際上也是對信息完整性的要求，在ＳＥＣ所規(guī)定的“能夠及時下載保存在電子存儲介質(zhì)上的索引和記錄”，是對電子記錄的可存取性的具體規(guī)定。當(dāng)然，保密性對所有經(jīng)濟運營來說也是一個重要考慮事項。

　　從上述舉例中，我們可以看到其中對電子記錄有三個共同的基本要求：第一個要求是確保信息的完整性，第二個要求是維護信息的保密性，第三個要求是確保信息能夠在適當(dāng)?shù)臅r間以適當(dāng)?shù)母袷皆L問。〔４〕

　　二、ＩＴ審計

　　審計是一個范圍、層次和含義很廣的概念，如審計軟件或系統(tǒng)的定義為：對計算機上的通信和操作的內(nèi)容進行采集、分析、追蹤、審查，提出警告信息，并給予日志性記載。而另一方面在更大的角度上，審計的概念可以概括為對管理和控制過程與行動的記錄和監(jiān)控，以判斷原始意圖是否正確貫徹。

　　隨著企業(yè)實施信息化進程的不斷深入。從信息系統(tǒng)安全性方面我們看到硬件故障、程序故障、操作系統(tǒng)錯誤、計算機犯罪，設(shè)備災(zāi)害以及保密數(shù)據(jù)泄漏等現(xiàn)象發(fā)生的可能性愈來愈高。此外，從投資的角度上，隨著信息化投資成本的不斷增加，投資效果反而不明顯。信息系統(tǒng)審計（ＩＴ審計）正是為了解決上述問題，提高信息系統(tǒng)的安全性、可靠性和開發(fā)運營效率，使企業(yè)信息化得到健康、全面的發(fā)展而引入的預(yù)防機制。

　　因此，不難看出ＩＴ審計是實現(xiàn)法規(guī)遵從性的必然和必要工具和手段，同時遵從性法規(guī)的內(nèi)容在技術(shù)層面也是對企業(yè)ＩＴ系統(tǒng)及管理的要求和指南。信息系統(tǒng)審計的對象包括：由計算機硬件和軟件結(jié)合而成的信息系統(tǒng)以及與信息系統(tǒng)的輸入、輸出相關(guān)的活動。廣義的講，即信息系統(tǒng)以及信息系統(tǒng)生命周期的所有活動；因此，信息系統(tǒng)審計并不局限于業(yè)務(wù)運營時期，與信息系統(tǒng)相關(guān)的開發(fā)活動，包括企業(yè)信息化戰(zhàn)略企劃、信息系統(tǒng)計劃、開發(fā)、實施和維護等相關(guān)的開發(fā)方面的活動也是信息系統(tǒng)審計的內(nèi)容之一。

　　實施信息系統(tǒng)審計，可以從如下幾個方面著手提高信息系統(tǒng)的安全性：對自然災(zāi)害及不可抗拒災(zāi)害的應(yīng)對措施進行審核和評價，一旦發(fā)生時能使損失和影響降至最低；從安全方面對信息系統(tǒng)進行審核和評價，防止數(shù)據(jù)的外泄、破壞或修改、非法入侵等情況發(fā)生，保證企業(yè)機密不外泄。

　　實施信息系統(tǒng)審計，可以從如下幾個方面著手提高信息系統(tǒng)的效率：從信息系統(tǒng)的資源是否最大限度地被利用為落腳點進行核查、評價，實現(xiàn)信息系統(tǒng)在業(yè)務(wù)和負載方面的均衡；對信息系統(tǒng)的計劃、開發(fā)、實施和運營各階段的（費用／效果）指標(biāo)進行定性或定量的核查、評價，確保信息系統(tǒng)利益最大化。

　　三、法規(guī)遵從對企業(yè)ＩＴ建設(shè)的導(dǎo)向性作用

　　１．集中的安全風(fēng)險管理

　　以技術(shù)為中心的專門方法來解決安全和法規(guī)遵從問題，是一種直接和自然的應(yīng)對措施。然而，試圖靠單個產(chǎn)品的力量來解決新威脅和遵從新法規(guī)正變得越來越困難，成本也日益高昂。將廣泛分散的單點解決方案的信息集成起來并采取行動，也需要耗費大量的人力。另外，隨著解決方案的復(fù)雜性和數(shù)量的增加，人們出錯或疏忽的幾率也會上升。

　　集中的安全風(fēng)險管理方法將包括了威脅防護功能（防病毒、入侵防護以及防間諜軟件）、策略增強、漏洞修復(fù)、接入控制、審計和數(shù)據(jù)損失防護等安全功能和機制的服務(wù)進行集成，通過統(tǒng)一和集中的管理機制來自動化地增強企業(yè)的整體防護并將遵從性的ＩＴ安全策略從紙面策略變?yōu)樾袆樱ㄟ^利用合并的管理點提高公司運營效率。

　　集中安全風(fēng)險管理解決能夠幫助企業(yè)優(yōu)化其安全風(fēng)險和法規(guī)遵從管理流程的同時，也很大程度地提高了其業(yè)務(wù)可用性和數(shù)據(jù)保護級別。統(tǒng)一的知識庫可以包含風(fēng)險以及前瞻性地配置和管理該環(huán)境所需的全部信息。威脅防護和法規(guī)遵從管理系統(tǒng)成為聯(lián)系業(yè)務(wù)流程和現(xiàn)實世界的紐帶，它能確保人們及其所用的技術(shù)與安全策略和諧相處，有效地抵御各種威脅。

　　２．人員、流程、技術(shù)

　　從信息技術(shù)的角度去審視法規(guī)遵從性，除了以上三個基本要求外，還涉及到人員、流程和技術(shù)三個重要環(huán)節(jié)。這些環(huán)節(jié)一定要與企業(yè)或組織的業(yè)務(wù)目標(biāo)和管理政策相結(jié)合，具體結(jié)合的情況可歸結(jié)為以下三個方面：

　　（１）信息和記錄管理政策和程序。企業(yè)和組織應(yīng)當(dāng)對其信息和記錄管理政策和做法加以定期審查，使所記錄的信息和數(shù)據(jù)能夠反映該企業(yè)和組織當(dāng)前的運營結(jié)構(gòu)、法律和法規(guī)環(huán)境、訴訟歷史以及業(yè)務(wù)目標(biāo)。

　　（２）領(lǐng)導(dǎo)支持和組織架構(gòu)。企業(yè)和組織高層主管應(yīng)當(dāng)認識到信息和記錄管理的重要性，而且他們在開發(fā)、管理和推動各項計劃中能夠發(fā)揮積極作用。此外，高層管理人員必須經(jīng)常向所有員工和雇員明確信息和記錄管理的策略和內(nèi)部的規(guī)定，并且還配備必要的管理和監(jiān)督人員。

　　（３）技術(shù)環(huán)境。從大量案例看，許多信息和記錄管理的失敗源于企業(yè)在業(yè)務(wù)記錄創(chuàng)建、保存和管理所用信息技術(shù)方面的不當(dāng)投資和管理。電子郵件和其他形式的電子信息等的存儲和處理應(yīng)引起企業(yè)和組織的認真對待，以便確保這些以電子形式存在的記錄能夠像紙質(zhì)信息那樣得到同等的照顧和關(guān)注。

　　３．信息生命周期的角色

　　值得注意的是，在技術(shù)的采用、過程的執(zhí)行和人員的協(xié)調(diào)中，業(yè)務(wù)記錄是其核心和焦點。業(yè)務(wù)記錄是有生命的，每一條信息和每一份業(yè)務(wù)文檔都有一個生命周期，從創(chuàng)建或捕獲起，歷經(jīng)多次修改、轉(zhuǎn)發(fā)和批準(zhǔn)，接觸許多不同的應(yīng)用程序，直至最后被處置掉。

　　經(jīng)歷了一個生命周期的過程，我們可以將業(yè)務(wù)記錄的管理納入到整個業(yè)務(wù)記錄生命周期管理中來考慮，這就是信息生命周期管理的觀點。

　　因而協(xié)調(diào)人員、過程和技術(shù)來實現(xiàn)法規(guī)遵從性，第一步是理解業(yè)務(wù)記錄的生命周期，并對所有業(yè)務(wù)記錄按照其重要性和價值進行很好的分類。然后，按照業(yè)務(wù)流程中所制定的各項策略選擇業(yè)務(wù)記錄的存儲環(huán)境，確保在做到法規(guī)遵從性的同時，降低業(yè)務(wù)記錄的存儲和管理的費用和成本。

　　這就是以信息生命周期管理的策略來強化法規(guī)遵從性的一個重要目的，也是當(dāng)前信息系統(tǒng)主管為滿足法規(guī)遵從性的需要所尋求的新的信息管理的策略。

　　總之，面對經(jīng)濟和技術(shù)快速發(fā)展的今天，要做好法規(guī)遵從性，確實是一個巨大的挑戰(zhàn)，但同時又是一個極好的機遇，它促使我們的企業(yè)和組織去認真思考和審視當(dāng)前信息管理的策略及各項工作，把我們的信息技術(shù)用得更好、更加安全和有效，幫助我們在新一輪的全球競爭環(huán)境中取勝。

責(zé)任編輯：葉雨田

免責(zé)聲明：本文僅代表作者個人觀點，與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實，對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾，請讀者僅作參考，并請自行核實相關(guān)內(nèi)容。

我要收藏

個贊

法規(guī)